医疗数据泄露占比近九成，App安全防护亟待加强

医疗数据泄露占比近九成，App安全防护亟待加强

近年来，随着“互联网+医疗健康”和智慧医疗的快速发展，健康管理App已成为人们日常生活中不可或缺的工具。然而，这些应用程序在提供便捷服务的同时，也带来了不容忽视的数据安全和隐私保护问题。据Verizon发布的《2024年数据泄露调查报告》显示，在所计算事件当中，有1/3的泄漏事件涉及勒索软件或其他形式的敲诈手段，医疗健康行业占88.5%，主要攻击方式为杂项错误、特权滥用、系统入侵，其中70%来自内部威胁，30%来自外部威胁。这些数据令人震惊，也凸显了健康管理App数据安全的紧迫性。

为了应对日益严峻的数据安全挑战，医疗行业采取了一系列措施。GB/T 39725-2020《信息安全技术 健康医疗数据安全指南》（以下简称《指南》）为医疗行业提供了具体的安全指南。《指南》将数据分为五个级别，每个级别都有其特定的业务要求和适用场合。例如，第1级数据可以公开发布，而第5级数据则涉及特殊疾病诊疗所必须的敏感信息。安全措施包括去标识化处理、身份鉴别、访问控制管理等，以确保数据的完整性和真实性。

在实际应用中，医疗机构通过数据安全平台，对医疗数据采取适宜的安全措施，涵盖身份鉴别与访问控制、细粒度权限管理、个人信息去标识化、数据加密、介质管控、审批授权、审计追溯等技术手段，确保数据在产生、传输、存储、使用、共享等全链路的安全。

以涂鸦智能生活App为例，该App在用户注册时会收集账号名称和联系方式，包括电子邮件地址、电话号码等。这些信息的收集和使用都遵循《智能生活隐私政策》，并经过用户的明确同意。此外，App还提供了基于位置信息的附加服务，如天气服务和地理围栏功能，但这些服务的使用都基于用户的同意，并且用户可以在设置中随时关闭相关权限。

尽管采取了多种安全措施，健康管理App仍面临诸多风险。2024年8月28日，赛诺菲（日本）宣布，外部有人未经授权访问其部分数据库，存储的个人信息可能已被泄露。被非法访问的信息包括733,820名医疗专业人员的姓名、性别、出生日期、电子邮件地址、医疗机构名称和地址等，以及1,390名员工的姓名等信息。事件起因是一名海外外包顾问违反规定将数据库ID保存在自己的个人电脑上，导致该电脑感染恶意软件。这一事件暴露出数据安全措施在实施过程中存在的漏洞，如身份认证与访问控制环节的管理不严、加密技术的不足以及安全系统的日志分析和审计环节的缺失。

2024年10月，上海某医疗科技公司所属系统存在网络安全漏洞，致使系统大量个人信息数据发生泄漏被境外IP访问窃取。该公司主要从事医疗领域教育培训的技术开发服务，涉事系统为该企业内部生产测试系统，部署于云服务平台，系统数据库内存储大量个人信息数据，包含姓名、单位名称、所属省市、所在乡镇/街道、手机号（已采取加密措施）等。在该事件中，首先是数据存储安全缺失，所属系统未采取有效网络安全防护措施，存在未授权访问漏洞，存储的云环境一旦被破坏，数据将直接暴露给攻击者；其次是管理问题，网络和数据安全管理制度不完善，网络日志留存不足6个月，造成数据泄漏，违反了《数据安全法》第二十七条规定。

面对日益严峻的数据安全形势，国家相继出台了一系列法律法规，为健康管理App的数据安全提供了法律依据。《个人信息保护法》和《数据安全法》对个人信息的收集、使用、存储和共享提出了明确要求。例如，《数据安全法》第二十七条规定，开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。

在实际应用中，App开发者和运营者需要按照规定进行安全评估。《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》第三条明确了相应的要求，为App安全评估提供了重要的法律依据。安全评估工作由网信部门和公安机关共同负责，提交平台为“全国互联网安全管理服务平台”，审核周期通常在30日内。

对于普通用户而言，保护个人健康数据安全同样重要。首先，要选择正规渠道下载App，并仔细阅读隐私政策，了解App收集和使用个人信息的目的、方式和范围。其次，谨慎授权App的权限，如位置、相机、麦克风等敏感权限，只在必要时开启。此外，定期检查App的权限设置，及时关闭不必要的权限。最后，提高个人信息保护意识，不随意分享健康数据，避免在不安全的网络环境下使用健康管理App。

健康管理App的数据安全是一个系统工程，需要政府、企业和用户共同努力。政府应不断完善相关法律法规，加强监管力度；企业要严格落实数据安全责任，提高技术水平；用户则要增强隐私保护意识，合理使用App。只有这样，我们才能在享受科技带来的便利的同时，确保个人健康数据的安全。